什么是Stateful Inspection？

状态检查技术也被称为动态数据包过滤。这是一种防火墙技术，它能够监控当前连接的状态，并利用这些信息来决定是否允许网络数据包通过防火墙。状态检查技术通常用来替代静态数据包过滤中的无状态检查方式。它非常适合用于传输控制协议（TCP）以及类似的协议，不过它也可以支持用户数据报协议（UDP）等协议。

状态检查就是那种类型/类别这是一种网络防火墙技术，它能够根据状态和上下文来过滤数据包。Check Point Software Technologies公司在20世纪90年代初开发了这种技术，目的是克服无状态检查所带来的限制。从那时起，有状态检查便成为了一种行业标准，目前它仍然是当前最常用的防火墙技术之一。

Stateful Inspection的工作原理

状态检查功能能够在一定时间内检测各种通信数据包，同时会检查所有传入和传出的数据包。防火墙会跟踪那些请求特定类型数据包的传出数据包，并授权这些数据包继续传输，只要它们属于正确的响应方式。状态防火墙会监控所有的会话过程，并验证所有数据包的合法性。不过，其具体的实现方式会因防火墙的技术以及所使用的通信协议而有所不同。

例如，当协议为 TCP 时，防火墙会捕获数据包的状态和上下文信息，然后将其与当前的会话数据进行比较。 如果已经存在与此次请求完全相同的记录，那么该数据包就可以通过防火墙了。 如果找不到该匹配项，那么该数据包就必须经过一定的策略检查。 在那个时候，如果数据包符合策略要求，防火墙会认为该数据包是用于重新建立连接而发送的。此时，防火墙会将会话数据存储在相应的表中。 这样，数据包就可以顺利通过了。 如果数据包不符合策略条件，那么该数据包将被拒绝。

状态检查技术的优势

• 状态检查功能能够了解连接的当前状态。
• 状态检查并不需要打开大量的端口来实现通信。
• 与基于数据包过滤的防火墙相比，Stateful Inspections能够抵御更多种类的DoS攻击。此外，它的日志记录功能也更为强大。
• Stateful Inspection能够检测到是否有非法数据被用来渗透网络。
• 状态检查防火墙还具有记录并存储网络连接相关重要信息的功能。
• 状态防火墙并不需要多个端口来作为通信的通道，这样才能确保通信的顺利进行。

Stateful Inspection的缺点

• 它们的配置可能会比较复杂。
• 它们无法阻止应用层的攻击。
• 状态检查并不对连接进行用户身份验证。
• 并非所有协议都包含状态信息。
• 在Stateful Inspection中，有些应用程序会打开大量的连接。其中一些连接会使用动态端口号来传输数据。
• 在 Stateful Inspection 中，维护状态表需要额外的开销。